lab 4-10 distribute-list và passive-interface in ospf.

Đối với các internal và external route trong OSPF, lệnh distribute-list in chỉ lọc các route được cài vào trong bảng định tuyến của cùng một routing process; lệnh distribute-list out chỉ

Lab 4-10: DISTRIBUTE-LIST VÀ PASSIVE-INTERFACE IN OSPF.

Mô tả

Sử dụng các kỹ thuật distribute-list, passive interface, default route và route

redistribution Đối với các internal và external route trong OSPF, lệnh distribute-list in chỉ lọc các route được cài vào trong bảng định tuyến của cùng một routing process; lệnh distribute-list out chỉ lọc được các external route (những route được học từ các giao thức định tuyến động khác) Lệnh passive-interface có khả năng chặn các thông tin cập nhật được gửi ra một cổng giao tiếp của router Đối với các protcol cần thiết lập adjacency như OSPF, passive-interface sẽ ngăn chặn sự thiết lập mối quan hệ này

Công ty International Travel Agency (ITA) sử dụng OSPF để định tuyến động và cần phải thoả các điều kiện:

Một kết nối 19.2 kbps được dùng kết nối Singapore và Auckland Do đó, cần phải hạn chế thông tin định tuyến kết nối này Một LAN 192.168.5.0/24 kết nối trực tiếp vào SanJose3 là 1 stub network Để giảm traffic trên LAN 192.168.5.0/24, các thông tin định tuyến cũng bị hạn chế vào ITA có một chi nhánh nghiên cứu R&D ở Singapore Các kỹ

sư R&D ở trên subnet 192.168.232.0/24 và toàn bộ mạng của công ty không được thấy và truy xuất vào mạng này Tuy nhiên, các nhà quản lý R&D ở trên subnet192.168.236.0/24 cần truy xuất vào mạng trên Để thực hiện yêu cầu này, ta sử dụng các lọc của OSPF

Thực hiện

1 Xây dựng và cấu hình mạng theo sơ đồ nhưng chưa cấu hình OSPF Dùng các lệnh CDP và ping để kiểm tra các kết nối trực tiếp với nhau

2 Trên SanJose3, cấu hình OSPF như sau:

SanJose3(config)#router ospf 1

SanJose3(config-router)#network 192.168.224.0 0.0.0.3 area 0

SanJose3(config-router)#network 192.168.5.0 0.0.0.255 area 0

SanJose3(config-router)#passive-interface e0

Lệnh passive-interface để ngăn không cho thông tin định tuyến chạy trong LAN 192.168.5.0/24

3 Cấu hình OSPF trên Singapore để Singapore có thể trao đổi thông tin cập nhật với SanJose3:

Singapore(config)#router ospf 1

Singapore(config-router)#network 192.168.224.0 0.0.0.3 area 0

Singapore(config-router)#passive-interface s0

Singapore(config-router)#passive-interface e1

Lệnh passive-interface để ngăn không cho thông tin định tuyến quảng bá ra ngoài 2 network 192.168.240.0/30 (s0) và network 192.168.236.0/24 (lo0)

Kiểm tra giao thức định tuyến OSPF bằng lệnh:

Singapore#show ip ospf neighbor

Neighbor ID Pri State Dead Time Address Interface

192.168.224.1 1 FULL/ - 00:00:34 192.168.224.1 Serial1

4 Cấu hình OSPF để Singapore quảng bá các mạng LAN:

Singapore(config)#router ospf 1

Singapore(config-router)#network 192.168.232.0 0.0.0.255 area 0

Kiểm tra bảng định tuyến trên hai router SanJose3 và Singapore bằng lệnh:

Singapore#show ip route

Gateway of last resort is not set

192.168.224.0/30 is subnetted, 1 subnets

C 192.168.224.0 is directly connected, Serial1

192.168.240.0/30 is subnetted, 1 subnets

C 192.168.240.0 is directly connected, Serial0

O 192.168.5.0/24 [110/74] via 192.168.224.1, 00:05:52, Serial1

C 192.168.232.0/24 is directly connected, Ethernet0

C 192.168.236.0/24 is directly connected, Loopback0

SanJose3#show ip route

Gateway of last resort is not set

192.168.224.0/30 is subnetted, 1 subnets

C 192.168.224.0 is directly connected, Serial1

C 192.168.5.0/24 is directly connected, Ethernet0

O 192.168.232.0/24 [110/74] via 192.168.224.2, 00:05:19, Serial1

5 Hiện tại, Singapore còn hai mạng 192.168.240.0/30 và 192.168.236.0/24 chưa được quảng bá và cần thoả hai điều kiện:

* Các LAN trừ 192.168.232.0/24 không được thấy 192.168.236.0/24

* Thông tin định tuyến không được lưu thông trên kết nối giữa Singapore và Auckland để tiết kiệm băng thông

Đối với điều kiện 1, do hai mạng 192.168.232.0/24 và 192.168.236.0/24 cùng nối vào Singapore, nên chúng có thể thông nhau một cách dễ dàng Để ngăn các LAN khác của công ty không thấy 192.168.236.0/24 thì ta không được quảng cáo nó vào OSPF domain hoặc nếu có quảng cáo thì phải ngăn chặn nó được cài đặt vào trong bảng định tuyến Do

đó, ta có thể dùng lệnh distribute-list in hay distribute-list out

Kết hợp với điều trên, để quảng bá 192.168.240.0/24 có thể filter được mạng

192.168.236.0/24 quảng bá trên mạng, ta có thể dùng hai cách:

Quảng bá 192.168.240.0/24 như internal route bằng lệnh network và dùng

passive-interface để ngăn thông tin định tuyến chạy trên link Quảng bá 192.168.236.0/24,

192.168.240.0/30 như external route bằng lệnh redistribute connected và dùng distribute-list out ở Singapore để ngăn chặn sự quảng bá của 192.168.236.0/24

Ở đây, ta sử dụng cách b Trước hết, ta quảng bá 192.168.236.0/24 ở Singapore như là một external route:

Singapore(config)#router ospf 1

Singapore(config-router)#redistribute connected subnets

Ta có thể kiểm tra hai network 192.168.240.0/30 và 192.168.236.0/24 được phân phối vào OSPF bằng lệnh:

SanJose3#show ip ospf database

OSPF Router with ID (192.168.224.1) (Process ID 1)

Router Link States (Area 0)

Link ID ADV Router Age Seq# Checksum Link count 192.168.224.1 192.168.224.1 858 0x80000003 0xBBDD 3 192.168.236.1 192.168.236.1 103 0x80000007 0x1A1 3

Type-5 AS External Link States

Link ID ADV Router Age Seq# Checksum Tag

192.168.236.0 192.168.236.1 103 0x80000001 0x7B77 0 192.168.240.0 192.168.236.1 103 0x80000001 0x3DB4 0

Kiểm tra bảng định tuyến của SanJose3:

SanJose3#show ip route

Gateway of last resort is not set

192.168.224.0/30 is subnetted, 1 subnets

C 192.168.224.0 is directly connected, Serial1

192.168.240.0/30 is subnetted, 1 subnets

O E2 192.168.240.0 [110/20] via 192.168.224.2, 00:00:14, Serial1

C 192.168.5.0/24 is directly connected, Ethernet0

O 192.168.232.0/24 [110/74] via 192.168.224.2, 00:00:14, Serial1

O E2 192.168.236.0/24 [110/20] via 192.168.224.2, 00:00:14, Serial1

Sử dung distribute-list để cấm không cho các LAN ở SanJose3 thấy mạng 192.168.236.0/24:

Singapore(config)#access-list 1 deny 192.168.236.0

Singapore(config)#access-list 1 permit any

Singapore(config)#router ospf 1

Singapore(config-router)#distribute-list 1 out

Kiểm tra:

SanJose3#show ip route

Gateway of last resort is not set

192.168.224.0/30 is subnetted, 1 subnets

C 192.168.224.0 is directly connected, Serial1

192.168.240.0/30 is subnetted, 1 subnets

O E2 192.168.240.0 [110/20] via 192.168.224.2, 00:06:28, Serial1

C 192.168.5.0/24 is directly connected, Ethernet0

O 192.168.232.0/24 [110/74] via 192.168.224.2, 00:06:28, Serial1

Ta thấy, Sanjose3 không còn thấy route 192.168.236.0 nữa, do Singapore đã lọc route này (distribute-list 1 out) trước khi quảng bá

Kiểm tra bảng định tuyến tại SanJose3:

Singapore#show ip protocols

Routing Protocol is "ospf 1"

Invalid after 0 seconds, hold down 0, flushed after 0

Outgoing update filter list for all interfaces is 1

Incoming update filter list for all interfaces is

Redistributing: connected, ospf 1

Routing for Networks:

192.168.224.0/30

192.168.232.0

Passive Interface(s):

Loopback0

Routing Information Sources:

Gateway Distance Last Update

192.168.224.1 110 00:10:35

Distance: (default is 110)

SanJose3#show ip route

C 192.168.5.0/24 is directly connected, Ethernetwork0

O 192.168.232.0/24 [110/74] via 192.168.224.2, 00:03:06, Serial0

192.168.224.0/30 is subnetworkted, 1 subnetworks

C 192.168.224.0 is directly connected, Serial0

192.168.240.0/30 is subnetworkted, 1 subnetworks

O E2 192.168.240.0 [110/20] via 192.168.224.2, 00:03:07, Serial0

Ta thấy SanJose3 chỉ học được route 192.168.240.0/30 và không có 192.168.236.0/24 do route này đã bị distribute-list không cho phép quảng bá

6 Auckland là 1 stub network chỉ có một ngõ ra Do đó, cấu hình một ngõ ra mặc định cho nó:

Auckland (config)#ip route 0.0.0.0 0.0.0.0 192.168.240.2 210

Số 210 ở cuối lệnh là AD mà ta đặt cho route này Nếu không có số này, mặc định, router

sẽ hiểu là 1 (định tuyến tĩnh) Trong bài này, bạn có thể không cần cấu hình AD cho route này, vì nó chỉ có một đường duy nhất đến Singapore

Từ Auckland ping đến 192.168.5.1 thành công do mặc định địa chỉ nguồn của Auckland

là 192.168.240.1

Auckland#debug ip packet

IP packet debugging is on

Auckland#ping 192.168.5.1

Type escape sequence to abort

Sending 5, 100-byte ICMP Echos to 192.168.5.1, timeout is 2 seconds:

!!!!!

Success rate is 100 percent (5/5), round-trip min/avg/max = 68/68/68 ms

Auckland#

00:40:06: IP: s=192.168.240.1 (local), d=192.168.5.1 (Serial0), len 100, sending

00:40:06: IP: s=192.168.5.1 (Serial0), d=192.168.240.1 (Serial0), len 100, rcvd

00:40:07: IP: s=192.168.240.1 (local), d=192.168.5.1 (Serial0), len 100, sending

00:40:07: IP: s=192.168.5.1 (Serial0), d=192.168.240.1 (Serial0), len 100, rcvd

00:40:07: IP: s=192.168.240.1 (local), d=192.168.5.1 (Serial0), len 100, sending

00:40:07: IP: s=192.168.5.1 (Serial0), d=192.168.240.1 (Serial0), len 100, rcvd

Sau đó, dùng extended ping:

Auckland #ping

Protocol [ip]:

Target IP address: 192.168.5.1

Repeat count [5]:

Datagram size [100]:

Timeout in seconds [2]:

Extended commands [n]: y

Source address or interface: 192.168.248.1

Type of service [0]:

Set DF bit in IP header? [no]:

Validate reply data? [no]:

Data pattern [0xABCD]:

Loose, Strict, Record, Timestamp, Verbose[none]:

Sweep range of sizes [n]:

Type escape sequence to abort

Sending 5, 100-byte ICMP Echos to 192.168.5.1, timeout is 2 seconds:

Success rate is 0 percent (0/5)

Ở SanJose3, ta có:

SanJose3#debug ip packet

IP packet debugging is on

SanJose3#

00:41:03: IP: s=192.168.5.1 (local), d=192.168.248.1, len 100, unroutable

00:41:05: IP: s=192.168.248.1 (Serial1), d=192.168.5.1, len 100, rcvd 4

00:41:05: IP: s=192.168.5.1 (local), d=192.168.248.1, len 100, unroutable

Kết quả không thành công vì SanJose3 không thấy 192.168.248.0/24

7 Do không có thông tin định tuyến chạy trên kết nối giữa Singapore và Auckland, ta không có cách nào để Auckland quảng cáo 192.168.248.0/24 cho Singapore Vì vậy, ta

sử dụng định tuyến tĩnh để cho Singapore thấy 192.168.248.0/24

Singapore(config)#ip route 192.168.248.0 255.255.255.0 192.168.240.1 210

Để Singapore quảng cáo tuyến đường tĩnh cho SanJose3, ta dùng phương pháp

redistribution:

Singapore(config)#router ospf 1

Singapore(config-router)#redistribute static metric 100

Kiểm tra bảng định tuyến trên SanJose3

SanJose3#show ip route

Gateway of last resort is not set

192.168.224.0/30 is subnetted, 1 subnets

C 192.168.224.0 is directly connected, Serial1

192.168.240.0/30 is subnetted, 1 subnets

O E2 192.168.240.0 [110/20] via 192.168.224.2, 00:22:03, Serial1

C 192.168.5.0/24 is directly connected, Ethernet0

O 192.168.232.0/24 [110/74] via 192.168.224.2, 00:22:03, Serial1

O E2 192.168.248.0/24 [110/100] via 192.168.224.2, 00:00:14, Serial1

Sử dụng extended ping ở Auckland để kiểm tra đường đi từ Auckland đến 192.168.5.0/24 với địa chỉ nguồn là (192.168.248.1) như đã làm ở bước 6

8 Ta thấy, lúc này SanJose3 không thể đến được network 192.168.236.0/24, nhưng Auckland thì vẫn có thể đến được do Auckland có một default route đến Singapore

Auckland#ping 192.168.236.1

Type escape sequence to abort

Sending 5, 100-byte ICMP Echos to 192.168.236.1, timeout is 2 seconds:

!!!!!

Success rate is 100 percent (5/5), round-trip min/avg/max = 36/44/60 ms

SanJose3#ping 192.168.236.1

Type escape sequence to abort

Sending 5, 100-byte ICMP Echos to 192.168.236.1, timeout is 2 seconds:

Success rate is 0 percent (0/5)

Với cấu hình như trên ta đã làm cho các router khác không thấy được network

192.168.236.0/24 trong bảng định tuyến

Do yêu cầu về bảo mật, ta chỉ mong muốn network 192.168.232.0/24 đến được network 192.168.236.0/24, nên ta chỉ có thể đặt 1 access-list trên Singapore để thực hiện việc này

Singapore(config)#access-list 101 permit ip 192.168.232.0 0.0.0.255 any

Singapore(config)#access-list 101 deny ip any any

Singapore(config)#interface e1

Singapore(config-if)#ip access-group 101 out

Ở trên, ta đã có:

access-list 1 deny 192.168.236.0

access-list 1 permit any

Ta thực hiện :

Singapore(config)#router ospf 1

Singapore(config-router)#no distribute-list 1 out

Singapore(config-router)#distribute-list 1 out connected

Lệnh distribute-list 1 out sẽ filter tất cả các route của các giao thức định tuyến khác được phân phối vào OSPF theo ACL 1 Lệnh distribute-list 1 out connected sẽ chỉ filter các route connected vào OSPF theo ACL 1 Các route của các giao thức định tuyến khác, nếu được phân phối vào OSPF sẽ không bị ảnh hưởng bởi ACL 1

Các lệnh trên sẽ cho ra kết quả giống như phần làm trên Phần làm thêm chỉ giúp các bạn hiểu hơn về các tham số theo sau lệnh distribute-list Connected chỉ là một trong các tham

số đó, bạn có thể test thêm về tham số static, rip, v.v… Các bạn có thể sửa lại topology để kiểm chứng cho rõ hơn

Cấu hình

Auckland#show run

Building configuration

Current configuration:

!

version 12.1

service timestamps debug uptime

service timestamps log uptime

no service password-encryption

!

hostname Auckland

!

ip subnet-zero

no ip domain-lookup

!

interface Ethernet0

ip address 192.168.248.1 255.255.255.0

no keepalive

!

interface Serial0

ip address 192.168.240.1 255.255.255.252

!

ip classless

ip route 0.0.0.0 0.0.0.0 192.168.240.2 210

no ip http server

!

line con 0

logging synchronous

transport input none

line aux 0

line vty 0 4

privilege level 15

no login

!

End

Singapore#show run

Building configuration

Current configuration:

!

version 12.1

service timestamps debug uptime service timestamps log uptime

no service password-encryption

!

hostname Singapore

!

ip subnet-zero

no ip domain-lookup

!

interface Ethernet0

ip address 192.168.232.1 255.255.255.0

no keepalive

!

interface Ethernet1

ip address 192.168.236.1 255.255.255.0

no keepalive

ip access-group 101 out

!

interface Serial0

ip address 192.168.240.2 255.255.255.252 clockrate 64000

!

interface Serial1

ip address 192.168.224.2 255.255.255.252

!

router ospf 1

redistribute connected subnets

redistribute static metric 100

passive-interface Ethernet1

passive-interface Serial0

network 192.168.224.0 0.0.0.3 area 0 network 192.168.232.0 0.0.0.255 area 0 distribute-list 1 out

ip classless

ip route 192.168.248.0 255.255.255.0 192.168.240.1 210

!

access-list 1 deny 192.168.236.0

access-list 1 permit any

access-list 101 permit ip 192.168.232.0 0.0.0.255 any access-list 101 deny ip any any

!

line con 0

logging synchronous

transport input none

line aux 0

line vty 0 4

privilege level 15

no login

!

scheduler interval 2000

end

SanJose3#show run

Building configuration

Current configuration:

!

version 12.0

service timestamps debug uptime

service timestamps log uptime

no service password-encryption

!

hostname SanJose3

!

ip subnet-zero

no ip domain-lookup

!

interface Ethernet0

ip address 192.168.5.1 255.255.255.0

no ip directed-broadcast

no keepalive

!

interface Serial1

ip address 192.168.224.1 255.255.255.252

no ip directed-broadcast

clockrate 64000

!

router ospf 1

passive-interface Ethernet0

network 192.168.5.0 0.0.0.255 area 0 network 192.168.224.0 0.0.0.3 area 0

!

ip classless

no ip http server

!

line con 0

logging synchronous

transport input none

line aux 0

line vty 0 4

privilege level 15

no login

!

End